đŽHogyan vĂ©dekezz az MBH Bank szĂĄmla feltörĂ©s ellen?
NĂ©dĂł Ruben MĂĄnuel nevĂ©re elutaltĂĄk/elloptĂĄk a sĂ©rtett megtakarĂtĂĄsĂĄt
đŽ 2025. ĂĄprilis 15-tĆl feltörtĂ©k szĂĄmos felhasznĂĄlĂł MBH BanknĂĄl vezetett szĂĄmlĂĄjĂĄt Ă©s kifosztottĂĄk!
2025 ĂĄprilisĂĄban egy magyar lakossĂĄgi ĂŒgyfĂ©l szĂĄmlĂĄjĂĄrĂłl 6,5 milliĂł forintot emeltek le adathalĂĄsz tĂĄmadĂĄs segĂtsĂ©gĂ©vel. Az ĂŒgyfĂ©l a Google keresĆben rĂĄkattintott egy, az MBH Bank netbank oldalĂĄt mĂĄsolĂł hamis oldalra (cĂm: takarek.login-onlihe-mbhdank.com), ahol megadta belĂ©pĂ©si adatait Ă©s SMS-hitelesĂtĂ©sĂ©t is. Az adatok birtokĂĄban a csalĂłk belĂ©ptek a netbank fĂłkjĂĄba, majd azonnal nagy Ă©rtĂ©kƱ ĂĄtutalĂĄst hajtottak vĂ©gre. Mindez nemcsak a megszerzett adatok miatt volt lehetsĂ©ges, hanem a banki rendszer kritikĂĄn aluli felkĂ©szĂŒltsĂ©ge miatt is. A biztonsĂĄgi kĂ©rdĂ©seket, miĂ©rteket mĂĄr elemeztĂŒk ebben a cikkĂŒnkben.Â
đŽ FĆbb Ă©szrevĂ©telek Ă©s hibapontok
- IP-cĂm- Ă©s eszközfelismerĂ©s hiĂĄnya
A belĂ©pĂ©s ismeretlen eszközrĆl Ă©s szokatlan IP-cĂmrĆl törtĂ©nt.
A bank nem kĂ©rt ĂșjraazonosĂtĂĄst vagy kĂ©tfaktoros (2FA) hitelesĂtĂ©st.JogszabĂĄlyi hĂĄttĂ©r: A PSD2 irĂĄnyelv Ă©s az SCA (Strong Customer Authentication) elĆĂrja, hogy magas kockĂĄzati szintnĂ©l tovĂĄbbi azonosĂtĂĄst kell alkalmazni. - TranzakciĂłs validĂĄciĂł hiĂĄnya
A 6,5M Ft összegƱ utalĂĄs nem volt SMS-ben vagy push Ă©rtesĂtĂ©ssel megerĆsĂtve.
Egyetlen automatikus Ă©rtesĂtĂ©s törtĂ©nt az utalĂĄs megtörtĂ©nte utĂĄn. - BelĂ©pĂ©si Ă©s tranzakciĂłs Ă©rtesĂtĂ©sek hiĂĄnya
Nem Ă©rkezett azonnali Ă©rtesĂtĂ©s a rendszerbe valĂł bejelentkezĂ©srĆl idegen helyrĆl. - VĂ©delem alacsony szintje
Nem volt manuĂĄlis vagy automatizĂĄlt ellenĆrzĂ©s a jelentĆs összegƱ tranzakciĂł elĆtt.
A banki rendszer nem blokkolta a gyanĂșs bejelentkezĂ©st.
đŽMi lenne az elvĂĄrhatĂł normĂĄlis mƱködĂ©s?
Minden modern netbanki rendszerben, fĆleg ekkora összegek esetĂ©n alapvetĆ lenne:
-
EgyidejƱ több IP-cĂmrĆl törtĂ©nĆ munkamenetek blokkolĂĄsa:
ha ugyanazzal a belĂ©pĂ©si azonosĂtĂłval kĂ©t kĂŒlönbözĆ IP-rĆl pĂĄr perc kĂŒlönbsĂ©ggel prĂłbĂĄlnak belĂ©pni, a rendszer:
-
automatikusan kilĂ©pteti az aktĂv szekciĂłkat,
-
ideiglenesen zĂĄrolja a fiĂłkot,
-
riasztja az ĂŒgyfelet SMS-ben vagy push notification formĂĄjĂĄban,
-
Ășj azonosĂtĂĄst kĂ©r.
NĂ©dĂł Ruben MĂĄnuel nevĂ©re elutaltĂĄk/elloptĂĄk a sĂ©rtett megtakarĂtĂĄsĂĄt
-
-
Session Hijacking Detection:
-
Ha egy aktĂv munkamenet sorĂĄn IP-cĂm vĂĄltozĂĄs törtĂ©nik, azonnal bontja a kapcsolatot.
-
Ezt minden komoly bank implementĂĄlja (Citibank, HSBC, Revolut stb.).
-
-
Pårhuzamos IP figyelés:
-
Modern rendszerek felismerik, ha ugyanazzal a session ID-val 5 percen belĂŒl kĂ©t teljesen mĂĄs IP-rĆl prĂłbĂĄlnak kapcsolatot lĂ©tesĂteni.
-
Ez biztonsĂĄgi protokoll megsĂ©rtĂ©sĂ©nek minĆsĂŒl, azonnali zĂĄrolĂĄssal.
-
A hiba sĂșlyossĂĄga:
| TerĂŒlet | ElvĂĄrĂĄs | MBH Bank valĂłs mƱködĂ©se |
|---|---|---|
| Session kezelĂ©s | Egyazon idĆben egy IP-rĆl aktĂv kapcsolat | Nem kontrollĂĄltĂĄk |
| IP-anomĂĄlia felismerĂ©s | KĂŒlönbözĆ IP-rĆl belĂ©pĂ©s = riasztĂĄs | Nem Ă©rzĂ©keltĂ©k |
| ĂgyfĂ©l vĂ©delmi Ă©rtesĂtĂ©s | GyanĂșs esemĂ©nynĂ©l SMS vagy zĂĄrolĂĄs | Nem törtĂ©nt |
| TranzakciĂłk validĂĄlĂĄsa | Extra hitelesĂtĂ©s gyanĂșs belĂ©pĂ©s esetĂ©n | Nem volt |
EgyszerƱen egy felkĂ©szĂŒlt banki rendszer ezeket, automatikusan blokkolja, sĆtt tovĂĄbb megyĂŒnk: a visszaĂ©lĂ©s ellen, szakmailag gyorsan Ă©s hatĂ©konyan fellĂ©p.
A HUP- hu cikkĂ©t olvasva van az MBH BanknĂĄl problĂ©ma bĆven
A HUP-on egy felhasznĂĄlĂł indĂtott mostanra “cunami” -t a kĂ©rdĂ©sek vĂĄlaszok tekintetĂ©ben, mert a posztolĂł felhasznĂĄlĂł rokoianit Ă©rte kifosztĂĄsos tĂĄmadĂĄs az MBH Bank rendszerĂ©ben Ă©s bizony sok Ă©rdemi reakciĂłt nem Ă©szlelt a posztolĂł.
AnnĂĄl több mĂĄsok ĂĄltal megfogalmazott vĂ©lemĂ©nybĆl kiderĂŒlnek a gondok, sorban lĂĄssuk Ćket.
SĂșlyossĂĄg szerinti rangsor a sĂ©rtetti ĂĄllĂtĂĄsokbĂłl Ă©s panaszokbĂłl, 10-tĆl 1-ig osztĂĄlyozva:
(kizĂĄrĂłlag az MBH Bank hibĂĄjĂĄt vagy potenciĂĄlis hibĂĄjĂĄt figyelembe vĂ©ve, nem az elkövetĆre fĂłkuszĂĄlva a HUP-on posztolĂłk ĂĄllĂtĂĄsaibĂłl)
| SĂșlyossĂĄg | Panasz / Ă©szrevĂ©tel | Rövid indoklĂĄs |
|---|---|---|
| 10 | A bankrendszer lehetĆvĂ© tette, hogy mĂĄs nevĂ©ben teljeskörƱ hozzĂĄfĂ©rĂ©st szerezzenek egy fiĂłkhoz | Ez alapvetĆ biztonsĂĄgi hiba; ha egy megtakarĂtĂĄsi cĂ©lĂș szĂĄmlĂĄt (nem fundamentĂĄt) Ăgy ki lehet ĂŒrĂteni, az sĂșlyosan hibĂĄs rendszerre utal. |
| 9 | A hitelesĂtĂ©s hiĂĄnyos vagy kijĂĄtszhatĂł volt (pl. autentikĂĄciĂłs SMS beĂĄllĂtĂĄs nem volt kötelezĆ) | Az MBH alapbeĂĄllĂtĂĄsai nem kĂ©nyszerĂtettĂ©k ki a 2FA vĂ©delmet, ami banki szinten sĂșlyos mulasztĂĄs. |
| 8 | A sĂ©rtett kĂ©rĂ©sĂ©re a bank nem biztosĂtotta idĆben a szĂĄmlavĂ©delmet (pl. befagyasztĂĄst vagy korlĂĄtozĂĄst) | Az idĆhĂșzĂĄs veszĂ©lyes: a pĂ©nz kimenthetett, mivel nem reagĂĄltak elĂ©g gyorsan. |
| 7 | A bank elĆre tudott a rendszeres sebezhetĆsĂ©grĆl, mĂ©gis kĂ©slekedett a javĂtĂĄssal | Ha a kiskapu ismert volt a bank elĆtt, Ă©s nem javĂtottĂĄk, ez sĂșlyos hanyagsĂĄgot jelent. |
| 6 | Az online banki kommunikĂĄciĂł sĂ©rĂŒlĂ©kenysĂ©ge (nem megfelelĆ certifikĂĄciĂł, pl. SSL/TLS) | A bank online felĂŒlete potenciĂĄlisan phisingre hajlamosĂtotta a felhasznĂĄlĂłkat. |
| 5 | A banki ĂŒgyfĂ©lszolgĂĄlat tĂĄjĂ©koztatĂĄsa zavaros, kĂ©sedelmes, nem egyĂ©rtelmƱ | ZavarĂł vagy kĂ©sĆi tĂĄjĂ©koztatĂĄs megnehezĂtette a kĂĄrmentĂ©st, de ez inkĂĄbb sĂșlyosbĂtĂł körĂŒlmĂ©ny, mint önĂĄllĂł fĆhiba. |
| 4 | A mĂĄsodlagos azonosĂtĂĄsok (pl. SMS 2FA) nem voltak megfelelĆen vĂ©dettek | Ha az SMS-ek interceptionje (pl. SIM-swap tĂĄmadĂĄs) lehetsĂ©ges, a banknak jobban kellett volna vĂ©denie az ĂŒgyfelet. |
| 3 | A megtakarĂtĂĄsi cĂ©lĂș utalĂĄsok kontrollja hiĂĄnyzott (nagy összegnĂ©l sincs extra ellenĆrzĂ©s) | Nagy összegƱ tranzakciĂłk esetĂ©n fokozott biztonsĂĄgi ellenĆrzĂ©st kellett volna alkalmazni. |
| 2 | A sĂ©rtett digitĂĄlis tudatossĂĄga alacsony volt, de a bank nem segĂtette edukĂĄciĂłval | Az edukĂĄciĂł hiĂĄnya hiba, de nem akkora sĂșlyĂș, mint a technikai hibĂĄk. |
| 1 | A mobilbank applikĂĄciĂł helyett a kevĂ©sbĂ© biztonsĂĄgos webes belĂ©pĂ©s preferĂĄlĂĄsa volt lehetsĂ©ges | Ez a banki “engedi, de nem ajĂĄnlja” kategĂłria, nem önmagĂĄban sĂșlyos, hanem a többi hibĂĄval egyĂŒtt. |
đŽ MegjegyzĂ©sĂŒnk az, hogy az MBH bank sĂșlyos hibĂĄkat vĂ©thetett
-
Az MBH Bank sĂșlyos hibĂĄkat vĂ©tett az alapĂ©rtelmezett biztonsĂĄgi beĂĄllĂtĂĄsokkal, lassĂș reakciĂłval, Ă©s ismert sĂ©rĂŒlĂ©kenysĂ©gek kezelĂ©sĂ©nek elmulasztĂĄsĂĄval.
-
Az ĂŒgyfĂ©l bizonyos szempontbĂłl felelĆs lehetett (pl. nem ĂĄllĂtott be 2FA-t), de a fĆ felelĆssĂ©g a bankot terheli, ha a rendszer ilyen könnyen kijĂĄtszhatĂł volt.
-
A megtakarĂtĂĄsi cĂ©lĂș pĂ©nzmozgĂĄs extra kontrollja kĂŒlönösen nagy jelentĆsĂ©gƱ lenne â Ă©s itt ez nem törtĂ©nt meg.
A Reddites felhasznĂĄlĂłt 3 MilliĂł forinttal kopasztottĂĄk meg az MBH Bankban Ă©ppen ma!
Ahogyan vĂ©gig nĂ©ztĂŒk a felsorolt oldalakat, a leĂrĂĄsokat Ă©s szĂĄmos jogi okfejtĂ©st is, bizony akadnak tennivalĂłk a következĆ jogszabĂĄlyok szakmailag hiteles vĂ©grehajtĂĄsĂĄt illetĆen, mert hĂĄt ezek azok a jogi okok ami a bankok MagyarorszĂĄgi mƱködĂ©sĂ©nek feltĂ©telei.
- PSD2 irĂĄnyelv: erĆs ĂŒgyfĂ©l-hitelesĂtĂ©s Ă©s kockĂĄzatalapĂș vĂ©delem.
- Hpt. 288. §: ĂŒgyfĂ©lpĂ©nzek biztonsĂĄgos kezelĂ©se.
- GDPR 32. cikk: a személyes adatok védelmének garantålåsa.
Az, hogy az MBH bank hogyan teljesĂtette azt az alapvetĆ kötelezettsĂ©gĂ©t, hogy kockĂĄzatalapĂș Ă©s valĂłs idejƱ vĂ©delmi rendszereket alkalmazzon? – ezt a kĂ©rdĂ©st az MNB FelĂŒgyeleti OsztĂĄlyĂĄnak kell megvĂĄlaszolnia Ă©s a szĂŒksĂ©ges szankciĂłkat alkalmaznia a felmerĂŒlt hiĂĄnyossĂĄgok esetĂ©n.
VĂ©gĂŒl: Hogyan tovĂĄbb?
Az ĂŒgy tanulsĂĄga szerint a magyar pĂ©nzĂŒgyi szektorban is radikĂĄlisan Ășj alapokra kell helyezni az elektronikus ĂŒgyfĂ©lvĂ©delmet. A nemzetközi gyakorlathoz igazodĂł, azonnali beavatkozĂĄst garantĂĄlĂł technikai protokollok hiĂĄnya többĂ© nem maradhat következmĂ©nyek nĂ©lkĂŒl.
Az ĂŒgyet nyomon követjĂŒk, Ă©s folyamatosan tĂĄjĂ©koztatunk benneteket.
#VĂ©ddMegMagad #MBHBankBiztonsĂĄg #PhishingVĂ©delem #DigitĂĄlisTudatossĂĄg
